情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和元年度秋期 午前 問40: アクセス制御を監査するシステム監査人の行為のうち，適切なものはどれか。

問題本文

アクセス制御を監査するシステム監査人の行為のうち，適切なものはどれか。

選択肢

• ア.ソフトウェアに関するアクセス制御の管理台帳を作成し，保管した。
• イ.データに関するアクセス制御の管理規程を閲覧した。
• ウ.ネットワークに関するアクセス制御の管理方針を制定した。
• エ.ハードウェアに関するアクセス制御の運用手続を実施した。

正解

イ. データに関するアクセス制御の管理規程を閲覧した。

解説

システム監査人は独立かつ客観的な立場で評価する役割であり、監査対象の運用や管理そのものに関与してはならない（自己監査の禁止）。許されるのは規程やログなどの閲覧・確認である。イの管理規程を閲覧する行為は監査としての証拠収集に該当し適切なため、正解はイである。

選択肢ごとの解説

• ア.管理台帳の作成・保管は被監査側（運用部門）の業務であり、監査人が行うと独立性を損なうため不適切で誤り。
• イ.管理規程を閲覧して内容を確認するのは監査証拠の収集にあたり、監査人の行為として適切なため正しい。
• ウ.管理方針の制定は経営層や運用部門の業務であり、監査人が制定に関与すると独立性を失うため不適切で誤り。
• エ.運用手続の実施は被監査側の業務であり、監査人が実施すると自己監査となり独立性を損なうため不適切で誤り。